이메일 주소 7억 건 담긴 개인정보 DB 유출... 한국인 정보도 다수

이메일 및 비밀번호 침해 여부 확인 서비스 제공하는 트로이 헌트가 발견

2008~2015년 사이에 발생한 각종 사고를 통해 유출된 정보로 보여

국내 보안전문가 “유출된 개인정보 DB 일부에 한국인 정보 100만개 포함”

[보안뉴스 문가용 기자] 폴더 하나가 인터넷 공간에 올라왔다. 7억 7천 3백만 개의 이메일 주소와 2천 1백만 개의 고유한 비밀번호들이 저장되어 있는 1만 2천 개의 파일들이 이 폴더 안에 저장되어 있었다. 2008년부터 발생한 여러 건의 데이터 침해 사고로부터 나온 정보들로 보인다.

국내 보안전문가에 따르면 유출된 개인정보 DB 일부 중에는 지자체 산하기관을 포함한 한국 웹사이트 50곳에서 유출된 개인정보 등 한국인 정보 100만건 이상이 포함된 것으로 추정된다. 더욱이 한국인 정보는 DB 일부에서 나온 것이라 해당 DB 전체를 확인할 경우 유출 피해 한국인은 훨씬 더 많을 것으로 우려된다.

이 폴더는 총 87GB에 달했고, 보안 전문가 트로이 헌트(Troy Hunt)가 메가(Mega)라는 클라우드 서비스에서 발견했다. 그리고 자신이 운영하는 무료 이메일 침해 여부 확인 사이트인 ‘해브 아이 빈 폰드(Have I Been Pwned, HIBP)’의 데이터베이스에 업로드했다. 비밀번호들은 폰드 패스워즈(Pwned Passwords, PP)라는 비밀번호 유출 여부 확인 사이트의 데이터베이스에 업로드했다.

이런 방대한 데이터 중 1억 4천만 건의 이메일 주소들과 비밀번호의 절반 정도는 여태까지 한 번도 등장하지 않았던 새로운 것으로, 그 동안 유지되어 왔던 HIBP 및 PP 데이터베이스에 처음으로 등록됐다. 이제 PP의 데이터베이스에는 5억 개가 넘는 비밀번호들이 저장되어 있다고 한다.

헌트는 블로그 게시글을 통해 자신이 메가에서 발견한 폴더에는 침해되거나 해시 처리가 무력화된 데이터베이스 2000개 이상으로부터 나온 정보가 저장되어 있었다고 설명했다. “대략적으로 확인한 결과 2008년에서 2015년 사이에 벌어진 침해 사고로 유출된 정보임을 알 수 있었습니다. 그러나 침해 사고만이 데이터 유출의 원인은 아닐 가능성이 높습니다.”

아직까지 누가 이 많은 정보를 한 폴더에 체계적으로 정리해 놓았는지는 밝혀지지 않았다. 공격자들은 이러한 데이터셋을 클라우드 서비스에 마련해놓고, 자동화된 크리덴셜 스터핑(credential stuffing) 공격을 즐겨 실행한다. 즉, 이런 데이터를 기반으로 특정 기업이나 기관에 무작위로 로그인을 시도해보는 것이다. 85GB나 되는 데이터를 손으로 입력하기는 힘들었지만 최근 자동화와 클라우드 기술이 발전하면서 크리덴셜 스터핑 공격이 매우 간단해졌다.

메가에서 발견된 이 폴더와 파일들은 헌트의 발견 이후 사라졌다. 헌트에 의하면 “이 데이터셋은 한 인기 높은 해커 포럼에서 판매 중에 있다”고 한다. “파일들이 저장된 루트 폴더의 이름은 ‘1번 컬렉션(Collection #1)’이었습니다. 그래서 저는 이 침해 사고를 ‘1번 컬렉션’이라고 언급하기 시작했습니다.

1번 컬렉션 사건은 이메일 주소와 비밀번호로 이뤄진 침해 사건 중 가장 큰 규모에 속한다. 얼마 전 메리어트 인터내셔널(Marriott International)에서 발생한 사고에서는 3억 8천만 개의 기록이 새나갔었다. 야후의 명성과 회사 가치를 크게 떨어트린 유출 사고에서는 30억 개의 사용자 계좌가 도난당했었다. 성인 사이트인 애덜트 프렌드 파인더(Adult Friend Finder)에서는 4억 1천 2백만 개의 계좌에서 피해가 발생하기도 했다.

이런 대규모 유출 사고가 자꾸만 발생하는 것에 대해 전문가들은 “비밀번호로만 보호되는 계정이 얼마나 약한지를 드러낸다”고 분석한다. 최근 마케츠 앤 마케츠(MarketsandMarkets)에서 조사, 발표한 보고서에 의하면 이러한 이유로 다양한 산업과 정부 기관들에서 다중 인증를 요구하는 목소리가 높아지고 있다고 한다. 그래서 앞으로 다중 인증 시장은 매년 15.5% 성장할 것으로 예상되며, 2022년 120억 달러 규모가 될 것이라고 보고 있다.

ID 관리 및 접근 제어 전문 기업인 유니켄(Uniken)의 CEO 비말 간디(Bimal Gandhi)는 “크리덴셜의 대량 유출은 조직들에 있어 다채로운 위협을 가할 수 있다”고 말한다. “인터넷 사용자 대부분 비밀번호를 재사용합니다. 개인적인 뭔가에 접근할 때나, 공공의 자산에 접근할 때 구분하지 않고 말입니다. 이것만으로도 이번 유출 사건의 잠재적 위험성은 크다고 볼 수 있습니다.”

그러면서 간디는 “일부 고객이 A라는 회사에서 사용하는 크리덴셜을, B라는 회사에 적용시킬 수 있다”고 설명한다. “무사히 통과될 가능성이 높습니다. 그러면 B라는 회사는 계정 탈취 공격을 당해, 사실상 악성 내부자를 가지게 되는 것과 다름이 없습니다. 게다가 이 공격은 자동으로 실행될 때가 많기 때문에 공격자들로서는 많은 자원을 투자할 필요도 없습니다. 성공 시 효과는 매우 좋지만요.”

게다가 피싱 공격에도 이 크리덴셜 정보는 귀중한 가치를 발휘한다. 보안 업체 트립와이어(Tripwire)의 부회장인 팀 얼린(Tim Erlin)은 “침해된 크리덴셜을 가지고 이메일 협박 공격을 시도하는 사례가 늘어나고 있다”며 “헌트가 메가에서 발견한 데이터를 누군가 먼저 확보했다면 앞으로 또 새로운 이메일 협박 공격이 등장할 수 있다”고 설명했다.

그나마 이번에 발견된 데이터가 비교적 오래되었다는 것이 조금은 긍정적이다. 비밀번호를 주기적으로 변경해왔던 조직이라면 오래된 비밀번호의 유출이 크게 위협적으로 다가오지 않을 것이라고 얼린은 말한다. “사실 기업에서 사용하는 비밀번호는 그래도 잘 바꾸는 편입니다. 개인용 이메일 비밀번호는 정말 안 바꿔요. 이번 데이터에 개인 이메일 크리덴셜이 있다면, 아마 오래되었어도 잘 작동하는 것이 많을 겁니다.”

​

NHN엔터, 글로벌 클라우드 시장 진출... 보안 강화해 서비스 장애 막는다

일본과 북미 시장을 시작으로 글로벌 엔터프라이즈 클라우드 시장 진출

AWS 서비스 장애와 같은 사고 막기 위해 보안자회사 피앤피시큐어와 파이오링크의 서비스 적용

[보안뉴스 원병철 기자] NHN엔터테인먼트가 본격적인 엔터프라이즈 클라우드 시장 공략을 선언하고 글로벌 진출 계획을 공개했다. NHN엔터테인먼트는 22일 판교 사옥 플레이 뮤지엄에서 ‘2019 TOAST 사업전략 기자간담회’를 열고, 통합 클라우드 솔루션 TOAST의 브랜드 슬로건과 함께 2019년 사업계획을 발표했다.

TOAST 사업본부를 총괄하는 백도민 CIO는 “TOAST의 독자적인 클라우드 원스탑 통합 시스템을 구축하기 위해 수년간 다양한 투자와 연구개발을 지속해 왔다”면서 TOAST의 클라우드 기술 역량을 강조했다.

특히, 새로운 슬로건 ‘Cloud-Ready TOAST’는 2014년 공식 런칭 이후 다양한 영역의 IT 서비스 경험과 기술 역량을 바탕으로 상품 라인업을 구축하고 지속적인 성장을 일궈낸 TOAST만의 자신감이라고 백도민 CIO는 설명했다.

TOAST의 2019년 사업전략을 소개한 김동훈 이사는 “2019년 TOAST는 금융과 쇼핑 분야를 발판으로 엔터프라이즈 시장을 본격적으로 공략할 것”이라고 밝혔다. 통합 클라우드 솔루션인 토스트는 △오픈스택 기반의 최적화된 클라우드 환경 △자사 서비스를 적용하면서 완성한 특화된 플랫폼 △대규모 서비스 경험과 전문인력 보유 △첨단 데이터 센터 보유 등 시장 경쟁력을 충분히 갖췄다는 것이 김동훈 이사의 설명이다.

“무엇보다 TOAST는 국내 유일의 오픈스택 기반의 클라우드 서비스라는 장점이 있습니다. 이를 바탕으로 자사 서비스를 퍼블릭 클라우드로 전환했고, 대외 서비스를 시작했습니다. 이어 게임 플랫폼 서비스와 쇼핑 서비스 등을 클라우드 서비스로 전환하면서 하이브리드 클라우드 등 다양한 클라우드 서비스도 함께 제공하고 있습니다.”

TOAST는 국내 기업 환경에 최적화된 클라우드 서비스를 제공할 수 있는 시스템을 갖추고 있다. 기존 온프레미스 고객의 부담을 고려해 점진적 클라우드 전환이 가능한 △하이브리드 클라우드, 금융·공공 분야 등 자체 구축을 위한 △프라이빗 클라우드, 다수의 클라우드 사업자를 선택하는 △멀티 클라우드 서비스를 모두 제공한다. 이를 통해 TOAST는 기업마다 각기 다른 보안, 서버 정책을 충족하며 효율적인 클라우드 전환을 지원한다.

김동훈 이사는 “서비스 장애나 보안 이슈가 민감한 클라우드 서비스는 경험이 곧 경쟁력이 될 것”이라며, “TOAST가 페이코(금융), 고도몰(쇼핑), 한게임(게임) 등 다양한 IT 서비스 경험을 통해 검증된 만큼, 금융과 쇼핑 분야를 중심으로 한 엔터프라이즈 시장에서 충분히 선택 받을 수 있을 것”이라고 덧붙였다.

이어 일본과 북미 지역을 대상으로 한 글로벌 진출 계획도 공개됐다. 2019년 일본과 북미 지역에 TOAST의 글로벌 리전이 구축된다. 일본 도쿄에는 2월, 북미는 5월에 각각 오픈될 예정이다.

TOAST의 글로벌 사업은 현지 기업을 대상으로 한 로컬 서비스를 중심으로 진행된다고 김동훈 이사는 설명했다. 국내 클라우드 기업이 한국 기업의 해외 서비스 목적으로 클라우드를 제공하기 위해 해외 리전을 설립하는 것과는 달리, AWS나 MS 등 글로벌 클라우드 기업과 동일한 직접 진출 형태로 글로벌 사업을 전개한다는데 의미가 있다는 것. 특히, 일본 사업의 경우 △게임사 대상의 ‘Hangame MIX’ △커머스 솔루션 ‘NCP(NHN Commerce Platform)’ 등 분야별 특화 플랫폼을 중심으로 일본 클라우드 시장을 공략해 나갈 계획이다.

“이미 일본에서는 2~3년 간 소규모 서비스를 제공하면서 시장을 개척하고 있습니다. 일본과 북미시장은 형태는 다르지만 현지 IDC를 통해 서비스를 제공할 것이며, 일본은 한국과 비슷한 형태의 서비스를 제공해 3년 안에 100억엔의 성과를 목표로 하고 있습니다.”

또한, 이번 간담회에는 NHN엔터테인먼트와 디지털 부문의 전략적 파트너십을 맺은 KB금융그룹이 참석해 KB금융 협업 플랫폼 ‘CLAYON’의 TOAST 적용 사례를 발표했다. KB금융지주 디지털전략부 박형주 부장은 TOAST만의 강점으로 금융보안 정책에 대한 이해와 경험, 국내 IT 환경에 특화된 전문 인력의 맞춤 지원을 꼽았다.

한편, 지난 AWS의 서비스 장애에 따른 클라우드 서비스에 대한 소비자의 불안감을 해소하기 위해 TOAST는 NHN엔터테인먼트의 자회사인 피앤피시큐어와 파이오링크의 기술력을 서비스에 적용하고 있다고 설명했다. 피앤피시큐어의 DB접근제어 솔루션 등을 접목하고, 파이오링크의 보안관제를 통해 발생할 수 있는 문제를 파악하고 대응하겠다는 전략이다.

​ 

참조사이트  
     

 http://www.dailysecu.com

 http://www.boannews.com

 http://www.boan.com

 http://www.dt.co.kr/

 http://www.datanet.co.kr/

 http://www.itdaily.kr

 [패치 및 업데이트]

금일 최신 패치 및 업데이트 정보 없습니다.

 http://www.krcert.or.kr/data/secNoticeList.do

 http://www.microsoft.com/korea/security/default.mspx

 http://www.adobe.com/kr/downloads/updates/

 [최신 바이러스 정보]

​

Trojan/Win32.Korat.C2949741
최초 발견일: 2019-01-22

종    류: 트로이목마(원격제어), 트로이목마(시스템장애)

형    태: 실행파일

감염/설치 경로: 파일실행, 메일, 다운로드

설   명: Trojan/Win32.Korat.C2949741는 디도스 공격을 위해 최대한 많은 수의 봇을 확보할 목적으로 설치되며 정상프로그램으로 위장하여 유포되는 트로이 목마이다.

Trojan/Win32.Bezigate.C2949729
최초 발견일: 2019-01-22

종    류: 트로이목마(원격제어), 트로이목마(정보유출)

형    태: 실행파일

감염/설치 경로: 파일실행, 메일, 다운로드

설   명: Trojan/Win32.Bezigate.C2949729는 백도어를 통해 컴퓨터를 원격으로 제어하고 사용자 정보 및 파일을 유출하는 트로이 목마이다.

http://www.viruschaser.com 

  http://www.viruslist.com

  http://alyac.altools.co.kr/

  http://www.ahnlab.com/

 ​

  ​

[보안TIP]

12월과 1월 사이 다시 나타난 다크하이드러스, 구글 활용해

[보안뉴스 문가용 기자] 해킹 그룹인 다크하이드러스(DarkHydrus)가 새로운 기능과 전략을 들고 다시 나타났다고 보안 업체 팔로알토 네트웍스(Palo Alto Networks)가 경고했다. 다크하이드러스는 2018년 여름에 처음 공개된 공격 단체로, 오픈소스 툴들을 사용해 중동의 정부 기관들을 주로 공격한다.

이번에 다시 시작된 다크하이드러스 공격에는 최소 세 가지 악성 엑셀 문서들이 활용되고 있다고 한다. 전부 로그로빈(RogueRobin)이라는 트로이목마를 피해자의 시스템에 설치하는 것을 목표로 하고 있다. 특이한 건 해당 문건들을 피해자가 열었을 때 매크로를 활성화시키라는 메시지가 뜨지 않는 것이다.

팔로알토 네트웍스의 전문가들은 아직 이 문건들이 어떻게 피해자에게 배달되며, 어떤 식으로 매크로를 활성화시키는지 정확히 밝히지 못하고 있다. 다만 악성 문건들은 2018년 12월과 2019년 1월 사이에 만들어졌다고 한다.

일단 매크로가 활성화되면 파워셸 스크립트가 하나 만들어진다. 이 스크립트는 .ps1 파일과 .sct 파일을 TEMP 폴더에 생성한다. .sct 파일의 경우 윈도우 스크립트 요소(Windows Script Component)로서 활용되는 것으로 정상적인 regsvr32.exe 애플리케이션을 통해 실행되며, 따라서 앱락커(AppLocker)라는 보안 장치를 우회할 수 있게 된다.

.ps1 스크립트는 일종의 드로퍼로, 디스크에 엠베드 된 실행파일을 만들어 저장하고, 바로가기(.lnk) 파일을 시작 프로그램 폴더에 생성함으로써 윈도우가 켜질 때마다 발동된다. 즉 지속적인 공격의 문을 여는 것이다. 페이로드는 로그로빈의 C# 버전으로, 다크하이드러스가 코드를 여러 버전으로 컴파일링한 것으로 보인다.

로그로빈은 샌드박스 환경 여부를 먼저 확인하는데, 이 때 가상 환경, 낮은 메모리, 프로세서의 수 등의 정보를 통해 판단한다. 또한 시스템 내 돌아가고 있을지도 모르는 분석 툴의 존재도 확인한다. 실행되는 동안 디버거가 첨부되는지도 확인한다.

C# 버전의 로그로빈은 DNS 터널링을 통해 C&C 서버와 교신하며, DNS 쿼리를 발동시킬 때마다 디버거의 부착 여부를 확인한다. 확인 결과 디버거가 없으면 쿼리가 구글이 소유한 정상 도메인으로 연결된다. 이는 아마도 탐지 및 분석되는 걸 피하기 위해서인 것으로 보인다. C&C 서버에서는 로그로빈으로 여러 가지 명령을 보낸다.

이번 버전의 로그로빈에는 새로운 명령어도 하나 추가됐다. x_mode로, 구글 드라이브 API를 활용하는 대체 C&C 채널을 활성화시키는 기능을 가지고 있다. 디폴트로는 활성화되어 있지 않은 기능이지만 C&C 서버에서 공격자들이 이를 켤 수 있다. 그렇게 되면 구글 드라이브가 C&C 서버가 되며, 이를 통해 정보를 주고받을 수 있게 된다.

x_mode 상태에서 멀웨어는 파일을 구글 드라이브 계정으로 업로드하며, 계속해서 해당 파일의 변경 시간을 확인한다. 첫 번째 변경은 고유 식별자를 덧붙이며, 그 뒤로 이어지는 변경 사항들은 명령어로서 취급된다.

구글 드라이브를 C&C로 활용한 단체는 다크하이드러스만이 아니다. 미국과 중동의 각종 조직들을 공격하는 오일리그(OilRig)와 같은 경우에도 역시 구글 드라이브를 통해 악성 공격을 실시한 바 있다.

이번에 발견된 내용은, 다크하이드러스가 아직도 활동 중에 있다는 것과, 새로운 기능과 전략을 계속해서 익히고 있다는 것을 드러낸다고 팔로알토는 말한다. 또한 합법적이고 정상적인 클라우드 서비스를 통한 공격이 앞으로도 계속 이어질 것으로 보인다고 덧붙이기도 했다.

.http://www.krcert.or.kr/data/secNoticeList.do

http://www.microsoft.com/korea/security/default.mspx

http://www.adobe.com/kr/downloads/updates/